Довольно странные ваши слова.
Вы заранее знаете, что ваш сервер сломают, поэтому хотите защитить бэкапы (причем пароль для шифра от бэкапов будет храниться на сломанном сервере! и конечно кулхацкер не сможет найти пароль для бэкапов имея доступ к серверу). При этом у вас живые данные как-нибудь защищены?
По вопросу: храните бэкап на другом физическом компе, на котором нет доступа к интернету (физически нет - другой VLAN, убрать шлюз по умолчанию, настроить фаервол и т.п.), запретите на нем виндовые шары + сложный админский пароль + никаких других пользователей + регламентируйте доступ в помещение с серверами. И можете не шифровать бэкапы.
Я бы, на вашем месте, диски для бэкапов вставил бы в сервер, сделал бы на нем для бэкапов рейд0 или рейд5, если диска не жалко. Так можно убрать человеческий фактор при смене дисков. Я этого насмотрелся, когда по регламенту положено было менять носители для бэкапов, а никто этого не делает, человек который знал регламент уволился, а остальные даже не знают где физически находится бэкап. У вас тем же закончится :) С тех пор всегда делаю автоматику для бэкапов и автоматическую процедуру проверки работоспособности.